Fortinet RCE Kwetsbaarheid

Deze liveblog bevat informatie over de Fortinet RCE Kwetsbaarheid. Zodra we een update hebben voegen we die aan deze blog toe. Meer informatie over mogelijke risico’s en details worden onderaan deze blog geplaatst. Laatste update op 14 maart 2023.

Update 14 maart 2023

Op 7 maart 2023 publiceerde Fortinet een Advisory waarin CVE-2022-41328 wordt beschreven. Deze kwetsbaarheid is een improper limitation of a pathname to a restricted directory, ook wel bekend als path traversal. Door het uitbuiten van deze kwetsbaarheid kan een geautoriseerde aanvaller bestanden lezen en bestanden aanmaken via de CLI.

Onbekende aanvallers misbruiken mogelijk CVE-2022-42475 of CVE-2023-25610 om de juiste rechten te krijgen die nodig zijn om CVE-2022-41328 te misbruiken. De kwetsbaarheid bekend als CVE-2022-41328 werd deze maand gebruikt bij gerichte aanvallen op overheden en grote organisaties die hebben geleid tot corruptie van het besturingssysteem, bestanden en gegevensverlies.

De kwetsbaarheid bestaat in de volgende producten:

• FortiOS versie 7.2.0 tot en met 7.2.3
• FortiOS versie 7.0.0 tot en met 7.0.9
• FortiOS versie 6.4.0 tot en met 6.4.11
• FortiOS 6.2 alle versies
• FortiOS 6.0 alle versies

Fortinet heeft patches gepubliceerd om de kwetsbaarheid te verhelpen. Het wordt aangeraden om deze patches te installeren.

• Upgrade naar FortiOS versie 7.2.4 of hoger
• Upgrade naar FortiOS versie 7.0.10 of hoger
• Upgrade naar FortiOS versie 6.4.12 of hoger

Fortinet heeft een analyse van het incident gepubliceerd inclusief IoC’s die tijdens hun lopende analyse zijn vastgesteld. Het is aanbevolen de systemen te controleren op de aanwezigheid van de volgende indicators of compromise:

Systeem/Logs

• String “execute wireless-controller hs20-icon upload-icon”
• String “User FortiManager_Access via fgfmd upload and run script”

Netwerk

• 47.252.20.90

Bestandhashes

• Auth – b6e92149efaf78e9ce7552297505b9d5
• Klogd – 53a69adac914808eced2bf8155a7512d
• Support – 9ce2459168cf4b5af494776a70e0feda
• Smit – e3f342c212bb8a0a56f63490bf00ca0c
• Localnet – 88711ebc99e1390f1ce2f42a6de0654d
• Urls.py – 64bdf7a631bc76b01b985f1d46b35ea6
• Views.py – 3e43511c4f7f551290292394c4e21de7
• Fgfm – e2d2884869f48f40b32fb27cc3bdefff

Oproep tot actie

1. Bepaal of uw Fortinet-product(en) kwetsbaar is/zijn;
2. Installeer de beschikbare patches;
3. Analyseer de logbestanden van de apparaten op indicators of compromise;
4. Analyseer de logbestanden van andere beveiligingsoplossingen op indicators of compromise;
5. Neem contact op met Fortinet Customer Support, Tesorion-SOC of Tesorion-CERT als er aanwijzingen van uitbuiting worden gevonden of wanneer ondersteuning gewenst is.

Als er verdachte of kwaadaardige activiteiten worden waargenomen in verband met dit artikel, neem dan contact op met T-CERT. Het Tesorion Computer Emergency Response Team biedt 24/7 specialistische ondersteuning. In noodgevallen voeren we onmiddellijk een eerste telefonische beoordeling uit en doen we er alles aan om de situatie zo snel mogelijk onder controle te krijgen.